Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)
W zeszłym roku Komisja (UE) zaproponowała dwa projekty regulacji dotyczących szeroko rozumianego rynku kryptoaktywów, które w założeniu mają ułożyć ekosystem tych aktywów od strony prawno-regulacyjnej (pisałem o tym tutaj i tutaj). Jednym z dokumentów jest projekt rozporządzenia w sprawie rynków kryptoaktywów i zmieniającego dyrektywę (UE) 2019/1937 wprowadzający m.in. obowiązkowe publikowanie tzw. białej księgi czy wymogi licencyjne i rejestrowe. Wydawać by się mogło, że jest to obszar znacznie „luźniej” związany z ochroną danych osobowych (choć oczywiście możliwość wykorzystania technologii blockchain ma tutaj niewątpliwie znaczenie), ale wczoraj pojawiła się opinia Europejskiego Inspektora Ochrony Danych w przedmiocie tego projektu. Co tam znajdziemy? Przyjrzyjmy się.
Już sam początek jest ciekawy. EDPS wskazuje, że potrzebna jest głębsza dyskusja nad kształtem obu aktów prawnych szczególnie ze względu na możliwość wykorzystania w ramach infrastruktury rynkowej technologii rozproszonego rejestru (DLT) i zagrożeniami z tym związanymi. To jedna uwaga. Inspektor wskazuje także, że emitenci kryptoaktywów powinny być wprost wskazani jako administratorzy danych osobowych. Pytanie czy jest to konieczne? Zawsze wydawało mi się, że o tym jaką funkcję pełnimy zgodnie z GDPR determinuje stan faktyczny, a niekoniecznie wyraźne określenie roli w przepisach prawach.
Co ciekawe (raczej oczywiste) EDPS wskazuje także, że taki emitent może podlegać obowiązkowemu DPIA, czyli ocenie skutków dla ochrony danych, a nadto „podpadać” pod obowiązek uprzedniej konsultacji z organem nadzorczym, gdyby okazało się, że przetwarzanie powodowałoby wysokie ryzyko (ze względu m.in. na stosowanie innowacji technologicznych). To też wydawało mi się naturalne, ale skoro jest potrzeba podkreślenia tego faktu, to cóż…
Dalej EDPS rekomenduje konkretne zmiany w zakresie treści białej księgi, czyli swoistego prospektu emisyjnego dla kryptoaktywów. Tutaj mamy wskazanie, że do listy informacji przekazywanych w tych dokumentach należy dodać zestawienie przewidywanych obszarów, w których dane osobowe będą przetwarzane, jak również określenie ryzyk i mitygantów tych ryzyka, które administrator zamierza stosować. Inspektor przywołuje też „standardowe” obowiązki z RODO m.in. w zakresie informowania.
Mamy też odniesienie do kar i możliwości publikacji informacji w tym zakresie. Właściwe organy mogą w niektórych przypadkach odroczyć publikację, np. ze względu na okoliczności sprawy, choć katalog jest szerszy. Ten katalog – rekomenduje EDPS – powinien zostać uzupełniony o przesłankę ryzyka dla ochrony danych osobowych. Poza tym mamy przypomnienie, że organy nadzoru powinny zapewnić rozwiązania pozwalające na usuwanie informacji o nałożonych karach po tym jak ustaną przesłanki dotyczące tej publikacji (określone m.in. w samym projekcie). Dalej EDPS rekomenduje zacieśnienie współpracy pomiędzy organami nadzoru w zakresie ochrony danych oraz Europejskim Urzędem Nadzoru Bankowego (EBA) oraz Europejskim Urzędem Nadzoru Giełd i Papierów Wartościowych (ESMA).
I to w zasadzie tyle. Opinia nie jest więc przesadnie rozbudowana i odnosi się do raczej oczywistych kwestii, choć wątpliwości może budzić rekomendacja dotycząca wyraźnego określenia roli emitenta kryptoaktywów jako administratora danych. Oczywiście jest to w jakiś sposób doprecyzowanie zapewniające większą przejrzystość, ale czy – patrząc przez pryzmat RODO – potrzebujemy aż tak oczywistych stwierdzeń?